{"id":1297487,"date":"2024-07-30T12:59:19","date_gmt":"2024-07-30T12:59:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-poder-y-los-peligros-de-las-herramientas-rmm\/"},"modified":"2024-07-30T12:59:24","modified_gmt":"2024-07-30T12:59:24","slug":"el-poder-y-los-peligros-de-las-herramientas-rmm","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-poder-y-los-peligros-de-las-herramientas-rmm\/","title":{"rendered":"El poder y los peligros de las herramientas RMM"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

A medida que m\u00e1s personas trabajan de forma remota, los departamentos de TI deben administrar dispositivos distribuidos en diferentes ciudades y pa\u00edses bas\u00e1ndose en VPN y herramientas de administraci\u00f3n y monitoreo remoto (RMM) para la administraci\u00f3n del sistema. <\/p>\n

Sin embargo, como cualquier tecnolog\u00eda nueva, las herramientas RMM tambi\u00e9n pueden utilizarse con fines maliciosos. Los actores de amenazas pueden establecer conexiones con el dispositivo de una v\u00edctima y ejecutar comandos, extraer datos y pasar desapercibidos. <\/p>\n

Este art\u00edculo cubrir\u00e1 ejemplos reales de exploits de RMM y le mostrar\u00e1 c\u00f3mo proteger su organizaci\u00f3n de estos ataques. <\/p>\n

\u00bfQu\u00e9 son las herramientas RMM? <\/strong><\/h2>\n

El software RMM simplifica la gesti\u00f3n de la red, permitiendo a los profesionales de TI resolver problemas de forma remota, instalar software y cargar o descargar archivos hacia o desde los dispositivos. <\/p>\n

Lamentablemente, esta conexi\u00f3n no siempre es segura y los atacantes pueden usar software malicioso para conectar sus servidores al dispositivo de la v\u00edctima. Sin embargo, a medida que estas conexiones se vuelven m\u00e1s f\u00e1ciles de detectar, ransomware como servicio (RaaS)<\/a> Los grupos han tenido que adaptar sus m\u00e9todos. <\/p>\n

En la mayor\u00eda de los incidentes cibern\u00e9ticos que Varonis investig\u00f3 el a\u00f1o pasado, las bandas de RaaS emplearon una t\u00e9cnica conocida como Vivir de la tierra<\/a>utilizando herramientas inform\u00e1ticas leg\u00edtimas para obtener control remoto, navegar por redes sin ser detectados y robar datos. <\/p>\n

Las herramientas RMM permiten a los atacantes camuflarse y evadir la detecci\u00f3n. Por lo general, los controles de seguridad y las pol\u00edticas de seguridad organizacionales, como la inclusi\u00f3n de aplicaciones en listas blancas, “ignoran” a ellos y a su tr\u00e1fico.<\/p>\n

Esta t\u00e1ctica tambi\u00e9n ayuda a los script kiddies: una vez conectados, encontrar\u00e1n todo lo que necesitan ya instalado y listo para ellos. <\/p>\n

Nuestra investigaci\u00f3n identific\u00f3 dos m\u00e9todos principales que utilizan los atacantes para manipular las herramientas RMM: <\/p>\n

    \n
  1. Abuso de herramientas RMM existentes:<\/strong> Los atacantes obtienen acceso inicial a la red de una organizaci\u00f3n mediante herramientas RMM preexistentes. Aprovechan credenciales d\u00e9biles o predeterminadas o vulnerabilidades de las herramientas para obtener acceso sin activar la detecci\u00f3n. <\/li>\n
  2. Instalaci\u00f3n de nuevas herramientas RMM:<\/strong> Los atacantes instalan sus herramientas RMM preferidas obteniendo primero acceso a la red. Utilizan correos electr\u00f3nicos de phishing o t\u00e9cnicas de ingenier\u00eda social para enga\u00f1ar a las v\u00edctimas para que instalen sin saberlo la herramienta RMM en su red. <\/li>\n<\/ol>\n

    A continuaci\u00f3n se muestran herramientas RMM y grupos RaaS comunes: <\/p>\n\n\n\n\n
    \"\"<\/a><\/td>\n<\/tr>\n
    Herramientas comunes de RMM y grupos de RaaS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Ejemplos reales de exploits de RMM <\/strong><\/h2>\n

    Durante una investigaci\u00f3n reciente, nuestro Detecci\u00f3n y respuesta de datos gestionados (MDDR)<\/a> El equipo analiz\u00f3 los datos de una organizaci\u00f3n y encontr\u00f3, en el historial de PowerShell de un dispositivo comprometido, evidencia de una herramienta RMM llamada “KiTTY”.<\/p>\n

    Este software era una versi\u00f3n modificada de PuTTY, una herramienta conocida para crear sesiones de Telnet y SSH con m\u00e1quinas remotas. Debido a que PuTTY es una herramienta RMM leg\u00edtima, ninguno de los programas de seguridad de la organizaci\u00f3n gener\u00f3 ninguna alarma, por lo que KiTTY pudo crear t\u00faneles inversos a trav\u00e9s del puerto 443 para exponer los servidores internos a una caja AWS EC2. <\/p>\n

    El equipo de Varonis realiz\u00f3 un an\u00e1lisis exhaustivo y descubri\u00f3 que las sesiones en el servidor AWS EC2 que utilizaban KiTTY eran clave para revelar qu\u00e9 hab\u00eda sucedido, c\u00f3mo se hab\u00eda hecho y, lo m\u00e1s importante, qu\u00e9 archivos se hab\u00edan robado.<\/p>\n

    Esta evidencia crucial fue un punto de inflexi\u00f3n en la investigaci\u00f3n y ayud\u00f3 a rastrear toda la cadena de ataque. Tambi\u00e9n revel\u00f3 las brechas de seguridad de la organizaci\u00f3n, c\u00f3mo abordarlas y las posibles consecuencias de este ataque. <\/p>\n

    Estrategias para defender las herramientas RMM <\/strong><\/h2>\n

    Considere implementar las siguientes estrategias para reducir la posibilidad de que los atacantes abusen de las herramientas RMM.<\/p>\n

    Una pol\u00edtica de control de aplicaciones <\/strong><\/h3>\n

    Restrinja el uso de m\u00faltiples herramientas RMM en su organizaci\u00f3n mediante la aplicaci\u00f3n de una pol\u00edtica de control de aplicaciones:<\/p>\n